Un acteur malveillant a été lié à une campagne de vol d’informations d’identification dans le cloud en juin 2023, axée sur les services Azure et Google Cloud Platform (GCP), marquant l’expansion de l’adversaire dans le ciblage au-delà d’Amazon Web Services (AWS).

Les résultats proviennent de SentinelOne et Permiso, qui ont déclaré que « les campagnes partagent des similitudes avec les outils attribués à la célèbre équipe de cryptojacking TeamTNT », bien qu’ils aient souligné que « l’attribution reste difficile avec les outils basés sur des scripts ».

Ils chevauchent également une campagne TeamTNT en cours divulguée par Aqua appelée Silentbob qui exploite des services cloud mal configurés pour éliminer les logiciels malveillants dans le cadre de ce qui est considéré comme un effort de test, tout en reliant les attaques SCARLETEEL à l’acteur de la menace, citant des points communs d’infrastructure.

« TeamTNT analyse les informations d’identification dans plusieurs environnements cloud, y compris AWS, Azure et GCP », a noté Aqua.

Les attaques, qui ciblent les instances Docker accessibles au public pour déployer un module de propagation semblable à un ver, sont la continuation d’un ensemble d’intrusions qui ciblait auparavant les ordinateurs portables Jupyter en décembre 2022.

Azure et Google Cloud

Jusqu’à huit versions incrémentielles du script de collecte d’informations d’identification ont été découvertes entre le 15 juin 2023 et le 11 juillet 2023, indiquant une campagne en évolution active.

Les nouvelles versions du logiciel malveillant sont conçues pour recueillir les informations d’identification d’AWS, Azure, Google Cloud Platform, Censys, Docker, Filezilla, Git, Grafana, Kubernetes, Linux, Ngrok, PostgreSQL, Redis, S3QL et SMB. Les informations d’identification collectées sont ensuite exfiltrées vers un serveur distant sous le contrôle de l’auteur de la menace.

SentinelOne a déclaré que la logique de collecte des informations d’identification et les fichiers ciblés présentaient des similitudes avec une campagne de ciblage Kubelet entreprise par TeamTNT en septembre 2022.

Parallèlement au malware de script shell, l’acteur de la menace a également été observé en train de distribuer un binaire ELF basé sur Golang qui agit comme un scanner pour propager le malware aux cibles vulnérables. Le binaire supprime en outre un utilitaire d’analyse de réseau Golang appelé Zgrab.

« Cette campagne démontre l’évolution d’un acteur chevronné du cloud familiarisé avec de nombreuses technologies », ont déclaré les chercheurs en sécurité Alex Delamotte, Ian Ahl et Daniel Bohannon. « L’attention méticuleuse portée aux détails indique que l’acteur a clairement vécu de nombreux essais et erreurs. »

« Cet acteur ajuste et améliore activement ses outils. Sur la base des ajustements observés au cours des dernières semaines, l’acteur se prépare probablement pour des campagnes à plus grande échelle. »

A lire également